使用 Spring Authorization Server 实现具有 PKCE 的单页应用程序进行身份验证 开启 CORS SPA 由静态资源组成，可以通过多种方式进行部署。它可以与后端分开部署，例如使用 CDN 或单独的 Web 服务器，也可以使用 Spring Boot 与后端一起部署。 当 SPA 托管在不同的域下时，可以使用跨域资源共享 （CORS） 来允许应用程序与后端通信。

前言 PKCE （RFC 7636） 是授权代码流的扩展，用于防止 CSRF 和授权代码注入攻击。 PKCE 不是客户端身份验证的一种形式，PKCE 不能替代客户端密码或其他客户端身份验证。即使客户端使用客户端密码或其他形式的客户端身份验证（如 private_key_jwt），也建议使用 PKCE。 注意：由于PKCE不能替代客户端身份验证，因此它不允许将公共客户端视为机密客户端。

zOAuth 2.0 扩展协议之 PKCE 转自：OAuth 2.0 扩展协议之 PKCE - SpringLeee - 博客园 (cnblogs.com) 前言 阅读本文前需要了解 OAuth 2.0 授权协议的相关内容， 可以参考我的上一篇文章 OAuth 2.0 的探险之旅。 PKCE 全称是 Proof Key for Code Exchange， 在2015年发布， 它是 OAu